Uma nova variante do malware bancário TrickMo para Android, distribuída em campanhas que miram usuários em toda a Europa, traz novos comandos e usa a The Open Network (TON) para comunicações furtivas de comando e controle.
O banker TrickMo foi identificado pela primeira vez em setembro de 2019 e, desde então, permanece em desenvolvimento ativo, recebendo atualizações constantes.
Em outubro de 2024, a Zimperium analisou 40 variantes do malware distribuídas por meio de 16 droppers, com comunicação em 22 infraestruturas distintas de comando e controle (C2) e foco na coleta de dados sensíveis de usuários em todo o mundo.
A variante mais recente foi descoberta pela ThreatFabric, que a rastreia como “Trickmo.C”.
Os pesquisadores acompanham essa versão desde janeiro.
Em relatório divulgado nesta quarta-feira, a ThreatFabric afirma que o malware se disfarça como aplicativos do TikTok ou de streaming e tem como alvo carteiras bancárias e de criptomoedas de usuários na França, Itália e Áustria.
A principal novidade da variante atual é a comunicação baseada em TON com o operador, que usa endereços .ADNL roteados por meio de um proxy local embutido da TON executado no dispositivo infectado.
A TON é uma rede descentralizada ponto a ponto, originalmente desenvolvida no ecossistema do Telegram, que permite que dispositivos se comuniquem com a web por meio de uma rede sobreposta criptografada, em vez de servidores de internet expostos publicamente.
A TON usa um identificador de 256 bits em vez de um domínio tradicional, o que oculta o endereço IP e a porta de comunicação.
Com isso, fica mais difícil identificar, bloquear ou desativar a infraestrutura real do servidor.
“Os desligamentos tradicionais de domínios são, em grande parte, ineficazes porque os endpoints do operador não dependem da hierarquia pública de DNS e, em vez disso, existem como identidades TON .adnl resolvidas dentro da própria rede sobreposta”, explica a ThreatFabric.
“O tráfego detectado na borda da rede vê apenas tráfego da TON, que é criptografado e indistinguível do fluxo de saída de qualquer outro aplicativo habilitado para TON.”
O TrickMo é um malware modular com um design em duas etapas: um APK hospedeiro que atua como loader e camada de persistência, e um módulo APK baixado em tempo de execução que implementa as funcionalidades ofensivas.
O malware mira credenciais bancárias por meio de sobreposições de phishing, realiza registro de teclas, gravação de tela e transmissão ao vivo da tela, além de interceptar SMS, suprimir notificações de OTP, modificar a área de transferência, filtrar notificações e capturar screenshots.
A ThreatFabric informa que a nova variante adiciona os seguintes comandos e capacidades:
- curl
- dnsLookup
- ping
- telnet
- traceroute
- túnel SSH
- encaminhamento remoto de portas
- encaminhamento local de portas
- suporte a proxy SOCKS5 autenticado
Os pesquisadores também encontraram o framework de runtime hooking Pine, usado anteriormente para interceptar operações de rede e do Firebase, mas ele está atualmente inativo, pois não há hooks instalados.
O TrickMo também declara permissões amplas de NFC e reporta capacidades de NFC na telemetria, mas os pesquisadores não encontraram qualquer funcionalidade ativa relacionada ao recurso.
Usuários de Android são aconselhados a baixar aplicativos somente na Google Play, limitar a quantidade de apps instalados no aparelho, usar apenas softwares de publishers confiáveis e garantir que o Play Protect permaneça ativo o tempo todo.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...